DLP与上网行为管理的差别总结

参考网康和深信服的上网行为管理手册，总结了一下DLP与上网行为管理的差别：

DLP与上网行为管理在功能和使用目的上有很大不同。主要体现在：

上网行为管理主要是对用户访问目标URL过滤，应用端口限制，上网时段统计，带宽进行检测和限制。主要是对访问进行控制。

而DLP主要是对用户发送的内容进行识别，是否包含敏感信息。主要是对上传进行控制。

虽然上网行为管理软件也有一部分内容检查功能，但是功能非常基本，只有有限的关键字和正则表达式检查方式，且检测条件很简单，没有像“最少匹配”，“自动匹配简体/繁体中文”，“统计重复内容”等选项。文件格式只是识别后缀名，文件指纹只是对文件整体做简单的MD5，将文件内容截取一段发送，将文件变形后就无法识别。更没有结构化指纹，非结构化指纹,智能学习这些高级检查方式。这样会导致无法精确定义敏感内容，无法有效保护敏感信息，会有很多漏报的泄露事件;同时也会增加大量误报事件.

因为没有keyview，所以就无法检测传输文件的真实格式，无法检测文件内容。从而也就导致SMTP，HTTP传输的附件无法检测内容。

上网行为管理作为数据防泄漏的主要欠缺点：

1. 文件指纹，只能做MD5，将文件变形后就无法识别。没有结构化，非结构化指纹。没有智能学习

2. 无法检测图片内容。文件类型只是看后缀名，不看文件头。

3. 只能对网页QQ聊天内容进行审计，无法分析QQ软件的聊天内容。

4. FTP协议：只能基于所传输文件在FTP服务器中的路径、文件名称阻塞文件传输行为。无法分析通过FTP传输文件的内容。

5. HTTPS：只能统计用户访问了哪些HTTPS站点，但是传输的内容无法检查，网康的上网行为管理手册没有写支持HTTPS内容解析。其实网康可以做，但是可能是出于性能上的考虑，没有支持HTTPS内容解析。

6. 不支持显示代理。

7. 没有数据发现功能，无法对静态敏感数据进行保护。

8. 没有零星式动作

9. 没有终端防泄漏产品